Dataskyddsförordningen vad innebär den för myndigheten. Registrator 2017 Ability Partner. 11 oktober 2017

Relevanta dokument
Data Protection, harmoniserade dataskyddsregler inom EU för vem och varför? Svenska Försäkringsföreningen. 12 november 2015

Dataskyddsförordningen GDPR

12. Klar och tydlig information och kommunikation samt klara och tydliga villkor för utövandet av den registrerades rättigheter

Informationsskyldighet enligt dataskyddsförordningen Joachim Angermund, Charlotta Sandström, Ingela Alverfors februari 2017

Avtal MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE

EU:s dataskyddsförordning

Riktlinjer för att tillvarata enskildas rättigheter

Välkomna till kurs i den nya dataskyddsförordningen

PERSONUPPGIFTSBITRÄDESAVTAL

För att tillvarata medlemmarnas enskildas rättigheter

MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE Bil 7

PERSONUPPGIFTSBITRÄDESAVTAL

ATT TILLVARATA ENSKILDAS RÄTTIGHETER

Instruktion för att tillvarata enskildas rättigheter. Instruktion för att tillvarata enskildas rättigheter

GDPR. Dataskyddsförordningen

Bilaga 1a Personuppgiftsbiträdesavtal

Dataskyddsförordningen

GDPR. Datalag Personuppgiftslag Dataskyddsförordning - maj Dataskyddslag - maj 2018

Rutin för handläggning av begäran om registerutdrag avseende personuppgifter ( manuell hantering)

Policy och riktlinje för hantering av personuppgifter i Trosa kommun

Instruktion för att tillvarata enskildas rättigheter

Styrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med

Dataskyddsförordningen

PERSONUPPGIFTSBITRÄDESAVTAL

PERSONUPPGIFTSBITRÄDESAVTAL

Personuppgiftsbiträdesavtal

EU:s nya dataskyddsförordning Lotta Wikman Öman

Dataskyddsförordningen (GDPR)

Riktlinjer fö r behandling av persönuppgifter, Sydna rkes kömmunalfö rbund

Svensk författningssamling

KOMMUNAL FÖRFATTNINGSSAMLING 2018: Policy och riktlinjer för hantering av personuppgifter. Antagen av kommunfullmäktige

AVTAL MELLAN PERSONUPPGIFTSANSVARIG OCH

PERSONUPPGIFTSBITRÄDESAVTAL

Dataskyddsförordningen

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

Personuppgiftsbiträdesavtal

PuL och GDPR en översiktlig genomgång

PERSONUPPGIFTSBITRÄDESAVTAL

GDPR utmaningar och konsekvenser för dig som jobbar med lön. Peter Nordbeck. 9 november 2017

PERSONUPPGIFTSPOLICY 1 BAKGRUND

GDPR Presentation Agenda

Samarbetsavtal behandling av personuppgifter 1. Bakgrund och syfte 2. Samarbetsavtalets giltighetstid

Så här behandlar V-Dala överförmyndarsamverkan dina personuppgifter

Så här behandlar Hedemora Näringsliv AB dina personuppgifter

Policy för behandling av personuppgifter

INTEGRITETSPOLICY för Webcap i Sverige AB

Personuppgiftsbiträdesavtal

Instruktion för personuppgiftsbiträdesavtal

Riktlinjer för dataskydd

Dataskyddsförordningen

Dataskyddsförordningen (GDPR) (och studieadministrativa system)

Styrande dokument. Policy och riktlinje för hantering av personuppgifter i Göteborgs Stad

Vården och reglerna om dataskydd

Underbiträdesavtal. Med Avtalet avses detta huvuddokument och vid var tid gällande bilagor.

GDPR- Seminarium 2017

Integritetsbeskrivning

Detta personuppgiftsbiträdesbiträdesavtal Biträdesavtal [ååmmdd] mellan: [**.], reg. no. [**], med addressen [**] (i det följande

Dataskyddsförordningen

Dataskyddsförordningen. Kristina Blomberg PuL-Pedagogen Sverige AB

Nordic Waterproofings AB Integritetspolicy 1 Inledning Vilka personuppgifter samlar vi in om dig och varför?... 2

1.2. Advokatfirman Carler är personuppgiftsansvarig för den behandling som utförs av Advokatfirman Carler i enlighet med denna personuppgiftspolicy.

PUL OCH DATASKYDDSFÖRORDNINGEN

Personuppgiftsinformation för Svedala kommun

KURS I JURIDIKS PERSONUPPGIFTSPOLICY

B EUROPAPARLAMENTETS OCH RÅDETS FÖRORDNING (EU)

Europeiska unionens L 119. officiella tidning ISSN Utdrag. Lagstiftning FÖRORDNINGAR

GDPR. Dataskyddsförordningen 27 april Emil Lechner

För det fall att handlingarnas innehåll inte överensstämmer har huvuddokumentet företräde framför bilagan.

JUHTA Delegationen för informationsförvaltningen inom den offentliga förvaltningen

Personuppgiftsbiträdesavtal

Dataskyddspolicy. Tillämplig lagstiftning. Dataförvaltare

Personuppgiftsbiträdesavtal

2. Information som FläktWoods samlar in FläktWoods kan komma att samla in och behandla följande information för de syften som anges nedan i punkt 3.

Personuppgiftsbiträdesavtal 1 Parter Detta avtal har dagen för undertecknanden ingåtts mellan parterna;

DATASKYDDSFÖRORDNINGEN. Copyright Qnister AB 1

Integritetsmeddelande

EU:s dataskyddsförordning

Upprätthållandet av korrekta och uppdaterade uppgifter. Skicka relevant information och erbjudanden

Personuppgiftsbiträdesavtal

GDPR NYA DATASKYDDSFÖRORDNINGEN

Datainspektionen informerar

PERSONUPPGIFTSBITRÄDESAVTAL

Integritetspolicy Upplev Norrköping

EU:s allmänna dataskyddsförordning - hur förbereder man sig? SNS 8 april Elisabeth Wallin, Jurist, Datainspektionen

PERSONUPPGIFTSBITRÄDESAVTAL Bilaga till Avtal om Swelön

PERSONUPPGIFTSBITRÄDESAVTAL Hantering av personuppgifter i Skyddat Webbaserat informationssystem (WIS)

Dataskyddsförordningen

Generell information Personuppgiftsansvarig Vilka personuppgifter samlar vi in? Varifrån har vi fått tillgång till uppgifterna?

Victoria Behandlingscenter AB Integritetspolicy

Status panik? GDPR-update! Disposition

Integritetspolicy EOV Sverige AB

Bilaga till Skanovas Allmänna Villkor PERSONUPPGIFTSBITRÄDESAVTAL

Golvpartner i Göteborg AB är personuppgiftsansvarig och ansvarar för att dina personuppgifter behandlas i enlighet med tillämplig lagstiftning.

PERSONUPPGIFTSBITRÄDESAVTAL

EU:s allmänna dataskyddsförordning:

Ny personuppgiftslagstiftning Ett förändrat risklandskap och möjligheter! 4 april 2017 Joacim Johannesson och Niklas Follin

Integritetspolicy för Helsingborgs Stängsel AB

1. Vad är en personuppgift och vad är en behandling av personuppgifter?

GDPR - Riktlinjer för hantering av personuppgifter

INFORMATION OM BEHANDLING AV DINA PERSONUPPGIFTER

Transkript:

Dataskyddsförordningen vad innebär den för myndigheten Registrator 2017 Ability Partner 11 oktober 2017 1

Bakgrund och processen mot EU:s dataskyddsförordning Förordningen publicerades den 4 maj 2016 och ska börja tillämpas senast 20 dagar + två år från den annonserats i Europeiska unionens officiella tidning (EUT), nämligen 25 maj 2018. Nationell kompletteringslagstiftning, SOU 2017:39. 2

Viktiga nyheter för myndigheter i dataskyddsförordningen Kommande regelverket = förordning. Nuvarande dataskyddsdirektivet = ett direktiv. En förordning är till alla delar bindande och direkt tillämplig i alla EU:s medlemsstater. Regeln i 5 a PuL om ostrukturerad behandling finns ej i förordningen. 3

Viktiga nyheter, artikel 12 Artikel 12. Elektronisk tillgång till personuppgifter. PuA ska vidta lämpliga åtgärder för att tillhandahålla information i en begriplig och lätt tillgänglig form, med användning av klart och tydligt språk. Informationen ska tillhandahållas skriftligt, eller i någon annan form, i förekommande fall elektroniskt. Om den registrerade gör begäran i elektronisk form = i regel tillhandahållas i elektronisk form, om den registrerade inte begär något annat. Informationen får ges muntligt om den registrerade begär det och dennes identitet bevisats. 4

Viktiga nyheter, artikel 13 och 14 Artikel 13 och 14. Långtgående informationskrav. Informationen ska innehålla följande men behöver inte ges om den registrerade redan känner till informationen: (Finns vissa ytterligare undantag när informationen inte samlas in direkt från den registrerade). a) Identitet och kontaktuppgifter för PuA och för dennes företrädare; PuA ska, i förekommande fall, också ange kontaktuppgifter för dataskyddsombudet. b) Syftena med den behandling för vilken personuppgifterna är avsedda och den rättsliga grunden för behandlingen. c) Hur länge uppgifterna kommer att lagras. d) Om behandlingen är baserad på en intresseavvägning, PuA:s eller en tredje parts berättigade intressen. 5

Viktiga nyheter, artikel 13 och 14, forts. e) Mottagarna eller de kategorier av mottagare som ska ta del av personuppgifterna. I tillämpliga fall, att PuA avser att överföra personuppgifterna till en mottagare i ett tredjeland eller en internationell organisation. f) Förekomsten av rättigheten att av PuA begära tillgång till och rättelse eller radering av de personuppgifter eller begränsning av behandling av personuppgifter som rör den registrerade och att invända mot behandlingen av sådana personuppgifter samt rätten till uppgiftsportabilitet. g) Om behandlingen grundar sig på samtycke, rätten att dra tillbaka sitt samtycke när som helst, utan att detta påverkar lagligheten i behandling på grundval av samtycket innan detta drogs tillbaka. h) Rätten att inge klagomål till Datainspektionen. 6

Viktiga nyheter, artikel 13 och 14, forts. i) Huruvida tillhandahållandet av personuppgifter är ett lagstadgat eller avtalsenligt krav, eller ett krav som är nödvändigt för att ingå ett avtal, samt huruvida den registrerade är skyldig att tillhandahålla uppgifterna och de möjliga följderna om sådana uppgifter inte lämnas. j) Sådan förekomst av automatiskt beslutsfattande, inbegripet profilering och information rörande skälen, samt betydelsen och de förutsedda följderna av sådan profilering av den registrerade. k) Om PuA avser att ytterligare behandla uppgifterna för ett annat syfte än det för vilket de insamlades ska PuA före denna ytterligare behandling ge den registrerade information om detta andra syfte. 7

Viktiga nyheter, artikel 15 Artikel 15. Registerutdrag. Den registrerade ska ha rätt att av PuA få bekräftelse på huruvida personuppgifter som rör honom eller henne håller på att behandlas och om sådana personuppgifter håller på att behandlas, tillgång till uppgifterna och följande information. a) Ändamålen med behandlingen. b) De kategorier av personuppgifter som behandlingen gäller. c) De mottagare eller kategorier av mottagare till vilka personuppgifterna har lämnats eller ska lämnas ut, särskilt mottagare i tredjeländer eller internationella organisationer. d) Om möjligt, den förutsedda period under vilken personuppgifterna kommer att lagras eller, om detta inte är möjligt, de kriterier som används för att fastställa denna period. 8

Viktiga nyheter, artikel 15, forts. e) Förekomsten av rätten att av PuA begära rättelse eller radering av personuppgifterna eller begränsningar av behandlingen av de personuppgifter som rör den registrerade eller att invända mot behandlingen av sådana personuppgifter. f) Rätten att inge klagomål till en tillsynsmyndighet. g) Om personuppgifterna inte samlas in från den registrerade, all tillgänglig information om varifrån dessa uppgifter kommer. h) Förekomsten av automatiserat beslutsfattande, inbegripet profilering enligt artikel 22.1 och 22.4, varvid det åtminstone i dessa fall ska lämnas meningsfull information om logiken bakom samt betydelsen och de förutsedda följderna av sådan behandling för den registrerade. 9

Viktiga nyheter, artikel 15, forts. Om personuppgifterna överförs till ett tredjeland eller till en internationell organisation, ska den registrerade ha rätt till information om de lämpliga skyddsåtgärder som i enlighet med artikel 46 har vidtagits vid överföringen. PuA ska förse den registrerade med en kopia av de personuppgifter som håller på att behandlas. För eventuella ytterligare kopior som den registrerade begär får PuA ta ut en rimlig avgift på grundval av de administrativa kostnaderna. Om den registrerade gör begäran i elektronisk form ska informationen tillhandahållas i ett elektroniskt format som är allmänt använt, om den registrerade inte begär något annat. Den rätt till en kopia som avses här ska inte inverka menligt på andras rättigheter och friheter. 10

Viktiga nyheter, artikel 17, 18, 19, 20 och 21 Artikel 17, 18 och 19. Rätt till radering m m. Registrerade personer ska i vissa situationer ges rätt att begära att information om sig själv raderas. Artikel 20. Rätt till uppgiftsportabilitet. Rätt att motta de personuppgifter som rör honom eller henne och som han eller hon har tillhandahållit PuA i ett strukturerat, allmänt använt och maskinläsbart format och ha rätt att överföra dessa uppgifter till en annan PuA utan hinder av den PuA som tillhandahållits uppgifterna. Artikel 21. Rätt att göra invändningar. Den registrerade ska, av skäl som hänför sig till vederbörandes specifika situation, ha rätt att när som helst göra invändningar mot behandling av personuppgifter. 11

Viktiga aspekter, artikel 22 Artikel 22. Automatiserat individuellt beslutsfattande. Rätt att inte omfattas av ett beslut enbart grundat på automatisk behandling - ink profilering som har a) rättsliga följder för individen eller b) kännbart påverkar individen. Gäller ej om a) nödvändigt för ingåendet eller fullgörandet av ett avtal mellan den registrerade och PuA, b) tillåts enligt unionslagstiftningen alt. medlemsstats lagstiftning eller c) grundar sig på den registrerades uttryckliga samtycke. 12

Viktiga nyheter, artikel 25 och 32 Artikel 25. Privacy by design. Begreppet privacy by design = låta integritetsfrågor påverka systemets livscykel från förstudie och kravställning via design och utveckling till användning och avveckling. Artikel 32. Säkerhet vid personuppgiftsbehandling. För att säkerställa en lämplig säkerhetsnivå jämfört med risken med behandlingen bör bland annat följande beaktas. a) Pseudonymisering och kryptering av personuppgifter. b) Möjligheten att löpande upprätthålla konfidentialitet, integritet, tillgänglighet och motståndskraften i systemen. c) Möjligheten att snabbt återskapa tillgängligheten till personuppgifter efter incidenter. d) En process för regelbundna tester för att utvärdera effektiviteten i tekniska och organisatoriska åtgärder, allt för att säkerställa säkerheten i personuppgiftsbehandlingen. 13

Viktiga nyheter, artikel 33, 34, 35 och 36 Artikel 33 + 34. Notifieringsskyldighet vid personuppgiftsincident. Vid personuppgiftsindicent= skyldighet för PuA att inom 72 timmar från man fick reda på intrånget meddela Datainspektionen. I vissa fall även informera de registrerade. Personuppgiftsincident = avsiktliga intrång + oavsiktliga incidenter där personuppgifter kan läsas av obehöriga. Artikel 35. Konsekvensanalys. Konsekvensanalys ska vidtas av PuA vid särskilda risker med behandlingen för de registrerades fri- och rättigheter. Artikel 36. Förhandssamråd. Utökad skyldighet för PuA/personuppgiftsbiträde, PuB, att samråda med Datainspektionen vid viss typ av riskfylld behandling. 14

Viktiga aspekter, artikel 28 Artikel 28 Personuppgiftsbiträden. PuB får inte anlita ett annat PuB utan att ett särskilt eller allmänt skriftligt förhandstillstånd har erhållits av PuA. Om ett allmänt skriftligt tillstånd har erhållits ska PuB informera PuA om eventuella planer på att anlita nya PuB eller ersätta PuB, så att PuA har möjlighet att göra invändningar mot sådana förändringar. 15

Viktiga aspekter, artikel 28, forts. forts. Artikel 28 Personuppgiftsbiträden, personuppgiftsbiträdesavtal. Personuppgiftsbiträdesavtalet skall reglera följande rörande PuB:s hantering av personuppgifter: a) Att PuB endast får behandla personuppgifter på dokumenterade instruktioner från PuA. b) Att PuB säkerställer att behörighetsstyrningen är korrekt och att konfidentialitet iakttas. c) Att PuB ska vidta alla åtgärder som krävs enligt artikel 32. d) Att PuB, med tanke på behandlingens art, ska hjälpa PuA genom lämpliga tekniska och organisatoriska åtgärder så att PuA kan fullgöra sin skyldighet avseende de registrerades rättigheter i enlighet med kapitel III. e) Att PuB ska bistå PuA med skyldigheterna enligt artiklarna 32 36. 16

Viktiga aspekter, artikel 28, forts. f) Att PuB, beroende på vad PuA väljer, ska radera eller återlämna alla personuppgifter till PuA efter det att uppdraget har avslutats, och radera befintliga kopior. g) Att PuB ska ge PuA tillgång till all information som krävs för att visa att de skyldigheter som fastställs i denna artikel 28 har fullgjorts samt möjliggöra och bidra till granskningar, inbegripet inspektioner, som genomförs av PuA eller av annan som har bemyndigats av PuA. I de fall PuB anlitar ett annat PuB, underpub, för utförande av specifik behandling på PuA:s vägnar ska det underpub genom ett avtal åläggas samma skyldigheter i fråga om dataskydd som de som fastställs i avtalet mellan PuB och PuA samt ge tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder. Om det underpub inte fullgör sina skyldigheter i fråga om dataskydd ska PuB vara fullt ansvarig gentemot PuA för utförandet av underpub:s skyldigheter. 17

Konflikterna - TF/OSL och dataskyddsförordningen Artikel 85. Behandling av personuppgifter och yttrande- och informationsfriheten. Medlemsstaterna ska i lag förena rätten till integritet i enlighet med denna förordning med yttrande- och informationsfriheten, inbegripet behandling av personuppgifter som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande. 70

Konflikterna - TF/OSL och dataskyddsförordningen, forts. Artikel 86. Behandling av personuppgifter och allmänhetens rätt att få tillgång till officiella handlingar Personuppgifter i allmänna handlingar som förvaras av en offentlig myndighet eller ett offentligt organ eller ett privat organ för utförande av en arbetsuppgift av allmänt intresse får lämnas ut av myndigheten eller organet i enlighet med den unionslagstiftning eller den nationella lagstiftning som den offentliga myndigheten eller det offentliga organet omfattas av, för att jämka samman allmänhetens rätt att få tillgång till officiella handlingar med rätten till skydd av personuppgifter i enlighet med denna förordning. 72

Konflikterna - TF/OSL och dataskyddsförordningen, forts. Sekretess gäller för personuppgift, om det kan antas att ett utlämnande skulle medföra att uppgiften behandlas i strid med personuppgiftslagen (1998:204). (OSL 21:7) 74

Konflikterna - TF/OSL och dataskyddsförordningen, forts. Mecenatfallet RÅ 2002 ref. 54 - Utlämning av CSN:s register över studielåntagare för direkt marknadsföring Se även Högsta förvaltningsrättens dom 2016-06-03 i mål nr 6121-15. - Begäran att hos Skolverket få del av e-postadresser till personer som ansökt om eller har meddelats lärarlegitimation HFD 2014 ref. 66. - 21 kap 7 OSL är inte tillämplig när den personuppgiftsansvarige inte är etablerad i Sverige. Accurate Care AS begärde hos Socialstyrelsen att från myndighetens register få ut uppgifter om namn samt datum för utfärdande och upphörande av legitimation avseende samtliga legitimerade sjuksköterskor. Syftet var att använda uppgifterna för legitimationskontroll och uppdatering av en databas. 75

Viktiga nyheter, artikel 83 Artikel 83. Sanktioner. Sanktioner vid överträdelse av förordningen. Upp till 20 miljoner, alternativt upp till 4 procent av företagets årliga globala omsättning. Svenska regeringen skall besluta om sanktioner även skall gälla för myndigheter. För myndigheter gäller 10 000 000 kr alternativt upp till 20 000 000 kronor. 22

Kontaktuppgifter: Karl-Fredrik Björklund kfb@carler.se Mobiltelefon 070-668 47 40 76

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss